Güvenli limana yasal ket vuruldu

Avrupa Adalet Divanı 6 Ekim’de aldığı kararla, Müşteri gizliliği ve veri depolama başlıklarında hem ABD hem Avrupa’da ABD şirketlerinin tek bir standart kullanmasını sağlayan ABD-AB (Avrupa Birliği) arasındaki Safe Harbour (Güvenli Liman) Anlaşması’nı iptal etti.
 
Kıtalararası dijital işbirliğinin temelini oluşturan, sadece BT değil, her sektörde faaliyet gösteren 4 bin 500’den fazla ABD firmasının dayanak noktası olan yasa ile ilgili bu son kararın ardından Facebook ve Twitter gibi şirketler, bazı Avrupa ülkelerinin veri düzenleyicilerinin incelemeleri ile karşı karşıya kalabilecek, Avrupalı kullanıcı verisini ABD’de değil, Avrupa içinde barındırma zorunluluğu ile karşılaşabilecek.
Alınan karar temelde, ‘Avrupa Komisyonu’nun Safe Harbour Anlaşması, AB’deki ülkelerin ulusal yetki güçlerine el koyamaz, bunu gasp edemez’ diyor. Buna göre, her bir Avrupa ülkesi, ABD şirketlerinin vatandaşlarının verilerini ele alması başlığında kendi düzenlemelerini hayata geçirebilir, ki birçok uzmana göre bu, halihazırda karmaşık Avrupa düzenleme ortamında karmaşanın artması demek olacak. Alınan bu kararla ülkeler, ABD’ye veri aktarımını durdurmayı tercih edebilir. Yani şirketler, kullanıcı verilerini ülke içinde barındırma zorunluluğu ile karşılaşabilir. Bu arada, İrlanda’da veri düzenleyici kurum, Facebook’un Avrupalı kullanıcılarına doğru veri korumalarını sunup sunmadığını inceleyecek. Bu incelemenin sonunda örneğin Facebook’un Avrupa’dan ABD’ye veri transferini durdurması yönünde karar alınabilir.
 
En yeni teknoloji, en güncel yasal altyapıyı istiyor
Safe Harbour kuralları olmadan özel bilgilerin aktarılması ya yasak ya da çok pahalı ve zaman alan bir operasyon halini alıyor. Bu nedenle şirketler, AB’den ABD’ye transfer ettikleri verilerin, yine AB normlarına göre güvenliğinin sağladığını gösteren yeni transfer yöntemleri bulmak zorunda. Bu ‘arayış’ süreci; gerek veri aktarımı ihtiyacı olan AB şirketlerini, gerekse ABD merkezli veri depolama şirketlerini beklemede tutacak. Ama bu karar öncelikle, iş dünyasının kolaylık sunan yeni teknolojiler kadar, güncel yasal altyapıya sahip olması gerektiğini de gösteriyor.  Bu önceliği detaylandırdığımızda, şirketlerin öncelikle faaliyet gösterdikleri ülkelerde veri koruma yasalarının belirlenmesi, kurumsal hayatın da bu yasalara uygun ilerlemesi gerek. Büyük ve kritik önemdeki veri miktarının artışı göz önüne alındığında, bu konuda hukuki adımların atılmasında gecikme lüksünün olmadığı görülüyor. Adalet Divanı’nın bu kararı, veri gizliliği ve veri yönetim uygulamalarının etkili kullanımının, kişisel veri ile iş yapan tüm kurumlar için bir gereklilik olduğunu da ortaya koyuyor. Sonuçta verilere yetkisiz erişilmesi ve kullanılması, hem şirketin BT altyapısının zarar görmesi, hem tüm paydaşlar nezdinde prestijin allak bullak olması, hem de yasal yaptırımlarla karşı karşıya kalınması sonucunu doğurabilir.
 
Karmaşa büyüyecek gibi gözüküyor
 
Avrupa ülkelerinin her birinin bu kararı pratikte nasıl uygulayacağı, bundan sonra ABD-AB arasında veri transferinde de belirleyici olacak. İşte ihtimaller…
 
–         Bundan önce ABD şirketleri Safe Harbour Anlaşması’na güvenerek, Avrupalılar’ın Avrupa’daki verilerini ABD’ye transfer edebilirdi. Ama bu kararın ardından, her bir ülkenin veri düzenleyicileri bu transfere karşı yasal süreçler izleyebilir. Örneğin Google gibi birçok şirket, Avrupa’da düzinelerce farklı düzenlemeye uyum zorunluluğu ile karşı karşıya kalabilir. Hatta ülkeler, kendi vatandaşlarının verilerinin kendi ülkeleri içinde saklanması talebinde bulunabilir. Bu yönde bir adımı atan Rusya, yeni bir veri kanununu uygulamaya geçirmiş, Rus vatandaşları ile ilgili verilerin Rusya içinde depolanmasını istemişti.
–         2000 yılında hayata geçen Safe Harbour, ulusal seviyede gizliliği hükümsüz kılmıyor. Tabi eğer ulusal denetim yapıları, uçtan uca net bir yasal çerçevede hareket edebilirse. Bu yorumu yapan hukukçulara göre, şirketlerin Avrupa’dan yasal olarak ABD’ye veri transferi yapabilecekleri bazı metotlar var. Yani Safe Harbour Yasası, kişisel bilgi transferinde tek yasal yöntem değil, ama en önemli metot olduğu bir gerçek. Örneğin bir diğer metot olarak gösterilen ‘veri bazlı izin almak’, hiç de kolay değil.

• Financial Times’ın konuyla ilgili makalesi ise bu kararın Avrupa’nın girişimcilerini olumsuz etkileyeceğine odaklanırken, ABD teknoloji şirketleri de Avrupa’nın dijital devrimin gerisinde kalacağı uyarısını yapıyor. Bu kararın bulut bilişim ve önde gelen BT şirketlerinin bu başlıktaki sunumlarına etkisi olacağını yadsımayan sektör uzmanlarına göre, bu karar; altyapı konusunda özellikle küçük ve orta ölçekli şirketleri, bölgenin girişimcilik ekosistemini, Avrupa’nın internet şirketlerini olumsuz etkileyecek. Daha fazla verinin Avrupa’da korunması ve işlenmesi odaklı bu karar, Avrupa ülkeleri arasında ticari ve politik sorunlara da yol açabilir. 

Kişisel verilerde NSA etkisi 
 
2011 yılında hayata geçirdiği ‘Europe v Facebook’ isimli baskı grubunun ardından, 28 yaşındaki hukuk öğrencisi Max Schrems, NSA skandalı sonrası Safe Harbour Anlaşması’na odaklandı.  Edward Snowden’ın itirafları sonrası açıklama yapan Schrems, bu sorunları bankacılık krizine benzeterek, “İlk kriz anlarında bir isyan oldu, ama sonra sesler kesildi, herkes bir yığın şey söyledi, ama gerçek bir değişim olmadı” eleştirisini yapmıştı.
Tüm bu sürecin temelinde İrlanda’da Facebook’a karşı alınan karar var. İrlanda’da Facebook aleyhine dava açan Schrems, önemli bir iddiayı ortaya attı: Kişisel gizliliğinin, NSA programlarından zarar görmesini. Bir Avusturyalı olan Schrems, bu iddia ile Facebook aleyhine davayı, Facebook’un Avrupa merkezi Dublin’de açtı. İrlanda’da Veri Koruma Komisyonu, bu davayı Safe Harbour Anlaşması’nın çizdiği yasal çerçeve gerekçesiyle reddetti, ama Schrems de temyize gitmekte gecikmedi. Bu da sonuçta, Avrupa Adalet Divanı kararını beraberinde getirdi. Bunun nihai karar olduğunu ve temyize götürülemeyeceğini de hatırlatmak gerek. Karar sonrası bir açıklama yapan Facebook ise “Bu dava doğrudan Facebook ile ilgili değil. Hukuk sözcüsü bile Facebook’un yanlış bir şey yapmadığını söyledi. Burada konu; Avrupa hukukunun sunduğu ve kıtalararası veri akışlarını mümkün kılan mekanizmalarla ilgili” açıklamasını yaptı.